IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

Transkript

1 IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f?

2 IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur die Mitarbeiter!.nervt die Geschäftsleitung!.und es kennt sich niemand damit aus!

3 Risikomanagement (?) bei Tierschützern in Afrika!

4 Agenda» Aktuell: EuroSOX Die 8. EU-Richtlinie steht vor der Tür» IT-Risikomanagement: Die Herausforderung!» Kurzer Erfahrungsbericht: Wirtschaftsprüfer vor Ort» badenit: Umsetzung IT-Risikomanagement mit ISO 20000

5 Ab ist die 8. EU-Richtlinie nationales Recht! Nur wenige Unternehmen wissen heute konkret, was das für sie bedeuten könnte!» Welche Regelungen werden dann greifen?» Welche Anforderungen stellt der Wirtschaftsprüfer beim nächsten Audit an die IT?» Was muss die IT jetzt tun, um für die Richtlinie gerüstet zu sein?

6 Was beinhaltet die 8. EU-Richtline (EuroSOX) allgemein?» Harmonisierung i = Gleiches Prüfwesen bei den relevanten Unternehmen auf dem europäischen Markt.» Betroffen sind Unternehmen, die im öffentlichen Interesse stehen.» Einheitliche Regelungen für die Prüfung des Finanzabschlusses. Anmerkung Die Compliance lässt sich nur mit Unterstützung der IT durchsetzen.

7 Welche Regeln betreffen die IT direkt? Aus Sicht der IT bedeutet dies:» Verschärfte Regelungen in Bezug auf Dokumentationen der IT- und TK-Infrastruktur!» Alle unternehmensrelevanten Daten müssen jederzeit verfügbar sein!» Interne Kontrollsysteme (IKS) sollen Regelverstöße bereits im Vorfeld erkennen und verhindern!

8 Auf den Punkt gebracht: Die 8. EU-Richtlinie wird zwar nur für Unternehmen relevant sein, die im öffentlichen Interesse stehen, aber.. welche lh Unternehmen davon konkret k betroffen bt sein werden, kann nicht exakt aus der Richtlinie abgeleitet werden! U d d W tli h Und das Wesentliche Die 8. EU-Richtlinie wird mehr Wind in die Segel des IT-Risikomanagements bringen!

9 Agenda» Aktuell: EuroSOX Die 8. EU-Richtlinie steht vor der Tür» IT-Risikomanagement: Die Herausforderung!» Kurzer Erfahrungsbericht: Wirtschaftsprüfer vor Ort» badenit: Umsetzung IT-Risikomanagement mit ISO 20000

10 Risikomanagement Betrachtet: IT-Risiken Produktrisiken Zinsrisiken Sonstige Risiken, wie z.b. Nimmt stetig an Bedeutung zu!

11 Risikomanagement im Sport Risikobeschreibung: -> Verschlechterung der Situation des Spielers bei einem Einsatz! -> Risiko für das Team? Risikominimierung: Wertschöpfung: Quelle: Welt am Sonntag vom Risikoanalyse:

12 IT-Risikomanagement: Die Rahmenbedingungen von KonTraG - Zur Erinnerung: KonTraG» Gesetz zu Kontrolle und Transparenz im Unternehmensbereich bezieht sich auf Kapitalgesellschaften! wirkt, wenn 2 von 3 Kriterien erfüllt sind!» Bilanzsumme > 3,44 Mio.» Umsatz > 6,87 Mio.» Mitarbeiter > 50 Kurz und knapp: Die Gesetze verpflichten Vorstände und Geschäftsführer, ein Risikomanagement im Unternehmen einzuführen. Diese haften ggf. persönlich, wenn die Pflichten vernachlässigt werden.

13 Tatsache: In nahezu allen Bereichen eines Unternehmens wird IT genutzt, um unternehmenskritische Geschäftsprozesse zu unterstützen! Mögliche Auswirkungen bei fehlendem IT-Risiko- Bewusstsein :» Wichtige Geschäftsprozesse stehen teilweise oder gar nicht mehr zur Verfügung» Unternehmensziele können nicht erreicht werden» Produktionsausfälle und Verluste drohen» Marktanteile gehen verloren» Mitbewerber werden gestärkt» Imageverluste» Das Vertrauen der Kunden ist gestört

14 IT-Risikomanagement: Identifikation der IT-Risikotreiber! Was sind die aktuellen Risikotreiber:» Rasante technologische Entwicklungen» Zunehmende Globalisierung» Zunehmender Wettbewerb auf deregulierten Märkten» Mangelnde Transparenz» Allgemein steigende Gefahren von Außen/Innen» Dezentrale Unternehmensstrukturen» Kurze Reaktionszeiten»Kostendruck Dies lässt die Annahme zu:

15 , dass IT-Risikomanagement zum Ballast wird und Stress verursacht Denn: Für IT-Risikomanagement ist wichtig, das» eine Orientierung der IT-Aktivitäten an den Geschäftsprozessen und den Unternehmenszielen erfolgt.» die IT-Leistungen transparenter werden.» kontinuierliche, i wirksame IT-Prozessabläufe verfügbar sind. Ergänzend

16 Fortsetzung» ein gesteigertes t Bewusstsein für die Auswirkung von IT-Risiken existiert.» regelmäßig gein Monitoring und Reporting erfolgt.» notwendige Maßnahmen zur IT-Risikominimierung zeitnah umgesetzt werden. Entscheidend ist die Wirksamkeit und Effizienz von IT-Risikomanagement, wie folgender Erfahrungsbericht zeigt

17 An dieser Stelle ein kurzer Erfahrungs- bericht Wirtschaftsprüfer vor Ort: B h i Wi t h ft üf b i Besuch eines Wirtschaftsprüfers bei einem Kunden der badenit.

18 Der Besuch des Wirtschaftsprüfers hat Folgendes gezeigt: Es wurden systematische und kontinuierliche Methoden und Maßnahmen zur Risikoerkennung und Risikominimierung hinterfragt. Regelmäßige Audits und Reports sind wichtige Faktoren, die nachgewiesen werden müssen. Die erfolgreiche Bereitstellung der Informationen für die Wirtschaftsprüfer hatte folgende Auswirkungen: >>Ein positiver Vermerk im Report der Wirtschaftsprüfung über die IT<<

19 Die Konsequenzen sind:» Das Vertrauen in die IT im Unternehmen wächst!» Banken bedienen sich oft den Berichten der Wirtschaftsprüfer -> positives Rating -> günstige Konditionen!»Die IT wird positiver wahrgenommen und die Zufriedenheit steigt.» Die IT-Kosten werden transparenter und deren Akzeptanz ist vorhanden.

20 Agenda» Aktuell: EuroSOX Die 8. EU-Richtlinie steht vor der Tür» IT-Risikomanagement: Die Herausforderung!» Kurzer Erfahrungsbericht: Wirtschaftsprüfer vor Ort» badenit: Umsetzung IT-Risikomanagement mit ISO 20000

21 Wie setzt die badenit dies um?

22 Internationale Standards als Maßstab für die Prüfer!! Vor diesem Hintergrund kommt den neuen ISO-Standards für die IT eine zentrale Bedeutung zu: Der Zertifizierungsstandard für Informationssicherheit ISO umfasst konkrete Maßnahmen, wie IT- und Informationssicherheit in Unternehmen gewährleistet werden kann. So auch ISO für IT-Service-Management. Das Zertifikat einer akkreditierten Organisation, wie in Österreich die CIS, entspricht einem staatlich anerkannten Dokument und bietet den Nachweis, dass die IT eines Unternehmens internationalen Standards entspricht. Da die in Euro-SOX geforderte Dokumentationspflicht durch ein ISO-zertifiziertes Managementsystem nachweislich erfüllt wird, sind die Verantwortungsträger damit von einer persönlichen Haftung weitestgehend befreit. Denn alle sicherheitsrelevanten Prozesse werden gemäß ISO oder ISO definiert und eingesetzt, dokumentiert und überwacht sowie in den Regelkreis der ständigen Verbesserung eingebracht. IT-affine Themen, die Wirtschaftstreuhänder nach Euro-SOX künftig prüfen werden, sind mit diesen ISO-Normen abgedeckt. Das nimmt der Wirtschaftsprüfung ihren Schrecken! Quelle: CIS Presseaussendung vom April 2008

23 Die badenit hat sich mit der ISO Norm verpflichtet, ein IT-Risikomanagement durch folgende Prozesse zu unterstützen:» Availability Management - Bereitstellung der vereinbarten Verfügbarkeit» Continuity Management - Gewährleistung der Kontinuität» Security Management - Betrachtung der Integrität und Vertraulichkeit» Service Level Management Vertragliche Zusicherung der Vereinbarungen

24 Unternehmensziele Geschäftsprozesse Risikosteuerung / -kontrolle Risikostrategie Risikobewertung Risikoerfassung

25 Folgende Ausgangssituation:» Die Kritikalität/Anforderungen eines Geschäftsprozesses haben sich geändert (strenge Compliance-Anforderungen).» Der bestehende IT-Service EBM ist möglicherweise einem höheren Risiko ausgesetzt (Veraltete Hardware).

26 Umsetzung der Risikostrategie am Beispiel des Continuity Management Geschäftsprozesse Risikostrategie

27 Die Business Impact Analyse (Leistungsschein) Risikoerfassung Impact-Kriterien Achtung! A-Einstufungen!

28 Die Business Impact Analyse Risikoerfassung

29 Die Risiko-Analyse Risikobewertung

30 Risikobewertung Die Risiko-Analyse Klassifizierung Vorgeschlagene Maßnahmen

31 Risikosteuerung/ -kontrolle Ticket-Steuerung über ITSM-Tool

32 Risikosteuerung/ -kontrolle

33 Die weiteren Schritte:» Maßnahmen dokumentieren und kommunizieren» Maßnahmen kalkulieren li» Angebot erstellen» gfl. Service-Change» Kapazitäten anfordern (ITIL=Request for Capacity)» Änderungen planen/durchführen (ITIL=Request for Change)» Transition # Das Ergebnis: Der IT-Service EBM wurde optimal und bedarfsgerecht an die aktuellen Anforderungen der Geschäftsprozesse angepasst. Der Kunde hat genau das, was er braucht um seinen Geschäftsprozess zu unterstützen.

34 FAZIT: Aus dem IT-Risikomanagement tritt für das Unternehmen dann eine Wertschöpfung ein, wenn» ein Commitment mit der Unternehmensleitung besteht,» Systematik und Kontinuität in den Methoden und Verfahren umgesetzt sind und vor allem regelmäßig gelebt werden,» eine ökonomische Sichtweise mit einbezogen wird,» mehr Transparenz entsteht,» zweckgebundene und zielorientierte Kommunikation umgesetzt wird. Die Werte:» Die Erhöhung der Qualität bei Entscheidungen durch fundierte Datenbasis.» Die Minimierung unvorhersehbarer Entwicklungen.» Die Steigerung von Unternehmenswerten.» Optimaleres Kosten Nutzen Verhältnis.

35 Kontakt

36 für Ihre Aufmerksamkeit.